ネットワークパケットルールの作成
ファイアウォールは、ネットワークパケットルールに従って、コンピューター上のすべてのネットワーク動作をフィルタリングします。ネットワークパケットルールには、ファイアウォールがコンピューターのネットワーク接続を制御するために適用する条件(方向、プロトコルなど)が含まれます。ネットワークパケットルールでは、ルールに一致する接続に対してファイアウォールが実行する処理(接続の許可またはブロック)も指定されます。
ネットワークパケットルールを作成するための推奨事項
IP アドレスまたは IP アドレスの範囲を指定して、ネットワーク動作をフィルタリングできます。DNS 名を指定することもできますが、IP アドレスと IP アドレス範囲を使用することを推奨します。DNS サーバーの所有者は DNS レコードのパラメータを変更できるため、ネットワークパケット名に DNS 名を使用すると安全でない可能性があります。悪意のある攻撃者は、DNS メッセージを偽装して、ファイアウォールルールを回避することもできます。
ユーザーは、ウェブコントロールルールを使用して DNS 名でネットワーク接続を制御することができます。ファイアウォールルールで DNS 名を指定する必要がある場合:
- 企業の LAN のセキュリティを確保します。
- キャッシュ DNS サーバーと権威 DNS サーバーのセキュリティを確保します。
- DNS レコードの変更に対する保護を有効にします。
ネットワークパケットルールを作成するときには、アプリケーションのネットワークルールに優先するということに留意する必要があります。
ネットワークパケットルールの作成方法
次の方法でネットワークパケットルールを作成できます:
- ネットワークモニターツールを使用する。
ネットワークモニターは、ユーザーのコンピューターのネットワーク動作に関する情報をリアルタイムで表示するように設計されたツールです。ルールを設定する必要がないため便利です。一部のファイアウォールの設定はネットワークモニターのデータから自動的に挿入されます。ネットワークモニターは製品のインターフェイスのみで使用できます。
- ファイアウォールを設定する。
ファイアウォールの設定を詳細に調整できます。その時点でネットワークの操作がない場合にも、ネットワークの動作に関してルールを作成できます。
製品のインターフェイスでネットワークモニターツールを使用してネットワークパケットルールを作成する方法
製品のインターフェイスでファイアウォールの設定を使用してネットワークパケットルールを作成する方法
をクリックします。管理コンソール(MMC)でネットワークパケットルールを作成する方法
)をクリックして定義済みのルールテンプレートを選択できます。ルールのテンプレートには、最もよく使用されるネットワーク接続に関する説明があります。Web コンソールと Cloud コンソールでネットワークパケットルールを作成する方法
ネットワークパケットルールの設定
パラメータ |
説明 |
|---|---|
処理 |
許可 ブロック アプリケーションルールに準拠:このオプションを選択すると、ファイアウォールはネットワーク接続にアプリケーションネットワークルールを適用します |
プロトコル |
選択したプロトコル(TCP、UDP、ICMP、ICMPv6、IGMP および GRE)に対してネットワークの動作を制御します。 ICMP または ICMPv6 プロトコルを選択すると、ICMP パケットの種類とコードを定義できます。 TCP または UDP をプロトコルの種類として選択すると、接続が監視されるローカルコンピューターとリモートコンピューターのポートをカンマ区切りで指定できます。 |
通信方向 |
受信(パケット):ファイアウォールはすべての受信ネットワークパケットにネットワークルールを適用します。 受信:リモートコンピューターにより開始されたネットワーク接続経由で送信されたパケットに、ネットワークルールが適用されます。 受信 / 送信:ネットワーク接続を開始したのがユーザーのコンピューターかリモートコンピューターか関係なく、送受信ネットワークパケットにネットワークルールが適用されます。 送信(パケット):ファイアウォールはすべての送信ネットワークパケットにネットワークルールを適用します。 送信:ユーザーのコンピューターにより開始されたネットワーク接続経由で送信されたパケットに、ネットワークルールが適用されます。 |
ネットワークアダプター |
ネットワークパケットを送信または受信することができるネットワークアダプターです。ネットワークアダプターの設定を行うことで、同じ IP アドレスのネットワークアダプターによって送受信されるネットワークパケットを区別できます。 |
最大生存時間(TTL) |
ネットワークパケットのコントロールをその有効期間(最大生存時間、TTL)によって制限します。 |
リモートアドレス |
ネットワークパケットを送信または受信するリモートコンピューターのネットワークアドレスです。ファイアウォールでは、指定した範囲のリモートネットワークアドレスにネットワークルールが適用されます。すべての IP アドレスをネットワークに含めることも、IP アドレスの範囲を指定することも、IP アドレスごとに別のリストを作成することも、または許可するネットワーク、ローカルネットワーク、パブリックネットワークなどのサブネットを選択することもできます。また、IP アドレスの代わりにコンピューターの DNS 名を指定することも可能です。LAN コンピューターまたは内部サービスに対しては DNS 名のみを使用してください。Microsoft Azure のようなクラウドサービスやその他のインターネットリソースとの連携については、Web コントロール機能で処理してください。 ネットワークパケットルールで IP アドレスが特定できない DNS 名を追加した場合、Kaspersky Endpoint Security は警告を表示します。Web コンソールのネットワークパケットルールのリストに、[警告]列がエラーの説明とともに追加されます。管理コンソール(MMC)では、エラーの説明は使用できません。このようなパケットルールは色で強調されます。 |
ローカルアドレス |
ネットワークパケットを送信または受信するコンピューターのネットワークアドレスです。ファイアウォールでは、指定した範囲のローカルネットワークアドレスにネットワークルールが適用されます。すべての IP アドレスをネットワークに含めたり、IP アドレスごとに別のリストを作成したり、IP アドレスの範囲を指定したりすることもできます。 本製品は、リモートアドレスのリストが指定されている場合にのみ、ローカルアドレスを保存します。つまり、[リモートアドレス]に対して[設定したネットワークアドレス]の値が選択されて、少なくとも 1 つのアドレスが追加されている場合です。 アプリケーションのローカルアドレスが取得できない場合があります。この場合、このパラメータは無視されます。 |